security

Уязвимость безопасности ASP.NET

Не так давно была найдена критическая уязвимость в ASP.NET всех версий. Об этом подробно написал Скотт Гатри в своём блоге (прочитать в переводе).

При помощи этой уязвимости злоумышленник может запрашивать и загружать с сервера файлы входящие в приложение ASP.NET такие как web.config (который часто содержит секретные данные), а также расшифровать данные посланные клиенту в зашифрованном состоянии (такие как данные ViewState на странице).

Данная уязвимость затрагивает и Microsoft Dynamics CRM, особенно IFD-проекты (Internet Facing Deployment). Читать далее »

Пароль «Рыба-меч» – защищаем секретные значения в CRM

Tags:

В продолжение поста "Поле-пароль" описывающего скрипты, скрывающие хранимый в записи CRM пароль пользователя.

Текущая версия Microsoft Dynamics CRM не поддерживает т.н. field level security - разграничение прав доступа на уровне полей конкретной сущности. Ролями безопасности настраивается доступ ко всей сущности. Часто возникают ситуации когда требуется защитить/скрыть часть полей от определённых групп пользователей CRM. Для таких случаев предлагается заводить отдельную сущность (она будет хранить секретные значения), привязывать её к основной сущности, и на уровне ролей безопасности раздавать права обычным и привилегированным пользователям.

Secret, MSCRM Entity, Users, Roles Читать далее »

RSS-материал
Работает на Drupal, система с открытым исходным кодом.